.png)
Le long bras du cabinet d'avocats et l'avenir de la cybersécurité
Certains jours, on a l'impression que le monde entier est en train de se faire pirater. La Chine a volé des données militaires américaines dans le cyberespace, d'abord pour le Joint Strike Fighter et maintenant pour des technologies sous-marines sensibles. Des millions d'Américains se sont fait dérober les informations relatives à leur carte de crédit par des pirates informatiques qui se sont introduits dans des entreprises de vente au détail. Même les navires en mer sont vulnérables, car les pirates informatiques ont appris à manipuler le système d'information automatisé (AIS) et le système de positionnement global (GPS) pour modifier le cap de navigation d'un navire à l'insu de son capitaine.
Ces piratages sont alarmants par leur ampleur et les risques qu'ils présentent et font immédiatement la une des journaux. Mais qu'en est-il du piratage discret et subtil d'un cabinet d'avocats aux gants blancs ? Les cabinets d'avocats fondent leur réputation (et donc leur activité) sur la confidentialité et la discrétion, et ce pour de bonnes raisons.
L'activité juridique est manifestement sensible ; les avocats interagissent souvent avec leurs clients dans des États vulnérables ou en transition où beaucoup de choses sont en danger. Les dossiers des clients constituent donc un trésor de données juteuses pour tout pirate informatique : informations personnelles identifiables, données bancaires et correspondance. Autant de données qui pourraient faire pencher la balance en faveur d'une cliente et de son entreprise.
Certaines brèches dans les cabinets d'avocats ont été désastreuses pour les victimes. Rappelez-vous le piratage spectaculaire du cabinet d'avocats panaméen Mossack Fonseca et la publication de téraoctets de données dans les "Panama Papers" qui a suivi. (Mossack Fonseca a fermé ses portes en mars 2018 en raison des pratiques illégales révélées par le piratage). De nombreuses entreprises respectueuses de la loi ont été piratées et abusées en ligne, et chaque piratage implique l'entreprise ainsi que ses clients.
Les équipes de sécurité dans l'environnement de sécurité émergent
En tant que professionnel de la sécurité dans un cabinet d'avocats, vous devez faire deux choses : (1) sécuriser les données de votre cabinet et (2) le faire sans perturber le travail quotidien des associés et des collaborateurs du cabinet. Contre quoi vous défendez-vous et où devriez-vous investir dans le personnel, les processus et la technologie pour réussir au mieux ?
Le vol et la divulgation de données sont des préoccupations évidentes pour les cabinets juridiques. Si la dernière décennie a été celle de la divulgation des données, les entreprises seraient bien avisées de s'inquiéter de la manipulation des données à l'avenir. Oui, les courriels de vos clients (et les vôtres) peuvent faire l'objet d'une fuite. Mais que se passerait-il si un acteur hostile pouvait pénétrer les réseaux de votre entreprise, accéder à votre environnement en nuage et manipuler les données pour modifier les faits de l'affaire sur papier ?
Que se passerait-il si un pirate informatique s'introduisait dans un fichier et changeait la date, modifiant ainsi la chronologie de la trajectoire du crime dans votre argumentation ? De telles manipulations de données pourraient faire des opérations dans le cyberespace une arme parfaite contre un cabinet d'avocats. Les avocats ne peuvent pas monter un dossier et les juges ne peuvent pas juger une affaire s'ils ne peuvent pas faire confiance ou vérifier les informations sur lesquelles le dossier est basé.
Quels sont donc les actifs les plus importants à sécuriser pour une entreprise ? Il s'agit tout d'abord des outils numériques que l'entreprise utilise pour stocker et suivre les documents de ses clients. Les avocats stockent de nombreuses données sur leurs clients et ont besoin de systèmes intuitifs pour le faire. Un système de gestion des documents (SGD) est le pivot des opérations de stockage et de recherche d'un cabinet d'avocats, et la sécurité de l'application est vitale pour la confidentialité. Souvent fournies par des développeurs d'applications tiers, certaines applications DMS sont plus sûres que d'autres et les entreprises travailleront souvent avec les développeurs d'applications pour que la sécurité soit à la hauteur.
Équilibrer la sécurité et la facilité de faire des affaires
Les équipes de sécurité veulent une cybersécurité forte pour l'entreprise, mais elles subissent également la pression des partenaires et d'autres personnes pour minimiser l'impact sur l'utilisateur final. Dans les cabinets d'avocats très actifs, les équipes chargées de la sécurité sont souvent confrontées à une longue bataille pour convaincre leurs partenaires d'adopter des solutions de sécurité solides si celles-ci risquent de ralentir les activités quotidiennes du cabinet.
Pourtant, à l'ère des violations constantes, tout outil de cybersécurité efficace nécessitera un certain élément de gestion du changement. Les cabinets doivent trouver un équilibre entre leur avantage concurrentiel à long terme (y compris la confidentialité et la discrétion, deux éléments durement acquis mais facilement perdus) et la nécessité de gagner des affaires pour les clients.
Comment les cabinets juridiques doivent-ils procéder ?
Comme toute entreprise, les sociétés doivent comprendre leurs missions les plus importantes et les plus dépendantes des données, obtenir une visibilité sur leurs actifs et leurs comportements, et investir dans des systèmes pour sécuriser leurs centres de données et leurs environnements en nuage au-delà de la seule sécurité des applications .
La bonne nouvelle, c'est que ce printemps, les équipes de sécurité du monde entier ont reçu un grand coup de pouce grâce au règlement général sur la protection des données (RGPD) de l'Union européenne. Les équipes de sécurité peuvent désormais utiliser les exigences du GDPR en matière de notification des violations et les frais pour conduire le changement dans leurs entreprises. C'est particulièrement vrai pour les entreprises qui représentent ou touchent des citoyens européens, mais l'impact du GDPR se fait sentir dans le monde entier, à mesure que les entreprises réfléchissent à leur avenir numérique et au monde qu'elles veulent construire.
Nous sommes entrés dans une nouvelle ère d'opérations dans le cyberespace et de manipulations de données. Au cours de la dernière décennie, les pirates informatiques étatiques et non étatiques ont affiné leurs tactiques, cherchant toujours de nouvelles méthodes pour exploiter les failles et les opportunités afin de prendre l'avantage. Le monde se concentrait autrefois sur la prévention du vol de la propriété intellectuelle et des attaques perturbatrices contre les infrastructures critiques; aujourd'hui, nous y ajoutons la prévention des attaques manipulatrices contre les organisations politiques, les médias sociaux et l'électorat d'un pays, et l'accès à l'internet se développe rapidement en Asie et ailleurs.
L'attaque russe contre l'élection présidentielle américaine de 2016 a peut-être marqué la fin de l'acte I de notre histoire de la cybersécurité. Nous nous trouvons aujourd'hui à un point d'inflexion entre deux avenirs. Dans un avenir proche, les cyberattaques continueront d'augmenter en rythme, en diversité et en gravité. Les violations pourraient avoir des conséquences que nous ne pouvons pas encore imaginer, mais nous savons que les groupes étatiques et non étatiques chercheront à utiliser la longue traîne de la technologie numérique de toutes les manières possibles pour prendre de l'avance.
Dans un deuxième avenir, les organisations du monde entier investissent dans des mesures de cybersécurité et de résilience afin de réduire les risques et de sécuriser les centres de données et l'informatique en nuage de l'intérieur. Si les secteurs de la finance et de l'énergie ont ouvert la voie en renforçant leurs capacités de cybersécurité au cours de la dernière décennie, l'acte II de notre histoire de la cybersécurité verra, nous l'espérons, une deuxième vague d'investissements alors que de plus en plus d'organisations s'attaquent à la vie à l'ère numérique.
Des brèches se produiront, mais il est tellement préférable de limiter la brèche à trois serveurs plutôt qu'à 3 000 serveurs. Les entreprises peuvent investir dès maintenant dans des systèmes cybernétiques résistants afin d'éviter que les failles ne se propagent.
Les cabinets d'avocats sont remplis de penseurs et de leaders intelligents, motivés et stratégiques. Nombre d'entre eux ont occupé des fonctions gouvernementales à travers les États-Unis. Aujourd'hui, les entreprises ont la possibilité d'établir des bases solides en matière de cybersécurité pour elles-mêmes et pour leurs clients, et de contribuer à orienter le monde vers ce deuxième avenir, plus résilient.
